Google tung ra tính năng bảo vệ chống đánh cắp Cookie trên Chrome

Google vừa công bố việc triển khai các biện pháp bảo vệ mới cho cookie phiên (session cookie) trong trình duyệt Chrome, nhằm ngăn chặn nguy cơ bị chiếm đoạt tài khoản thông qua việc đánh cắp cookie xác thực.

Tính năng này có tên gọi là Device Bound Session Credentials (DBSC), được công bố vào tháng 4 năm 2024 và hiện đã có mặt trên Chrome 146 dành cho hệ điều hành Windows. Người dùng macOS cũng sẽ nhận được tính năng này trong các bản phát hành trình duyệt trong tương lai.

Trình duyệt Chrome

DBSC hoạt động như thế nào?

DBSC chống lại việc đánh cắp cookie phiên bằng cách liên kết mật mã các phiên xác thực với thiết bị của người dùng, từ đó khiến những cookie bị đánh cắp trở nên vô dụng.

Thông thường, các token này thường bị đánh cắp bởi phần mềm độc hại đánh cắp thông tin (info-stealing malware) và thường được chia sẻ hoặc bán trên các nền tảng tội phạm mạng. Chúng có thể cung cấp cho kẻ tấn công quyền truy cập vào tài khoản của người dùng mà không cần mật khẩu.

Google lưu ý: "Khi phần mềm độc hại tinh vi đã xâm nhập được vào máy tính, nó có thể đọc các tệp cục bộ và bộ nhớ nơi trình duyệt lưu trữ cookie xác thực. Kết quả là, không có cách nào đáng tin cậy để ngăn chặn việc rò rỉ cookie chỉ bằng phần mềm trên bất kỳ hệ điều hành nào."

DBSC dựa vào các mô-đun bảo mật được hỗ trợ bởi phần cứng để tạo ra một cặp khóa công khai/riêng tư duy nhất. Chrome sẽ cấp các cookie phiên mới có thời hạn ngắn để chứng minh với máy chủ rằng trình duyệt đang nắm giữ khóa riêng tư.

"Vì tin tặc không thể đánh cắp khóa này, nên bất kỳ cookie nào bị rò rỉ sẽ nhanh chóng hết hạn và trở nên vô dụng đối với những kẻ tấn công," Google giải thích.

Triển khai và quyền riêng tư

Các trang web có thể áp dụng tính năng bảo vệ này thông qua các điểm cuối đăng ký và làm mới chuyên biệt. Trình duyệt sẽ xử lý việc mật mã hóa và xoay vòng cookie, giúp tất cả các ứng dụng web có thể tiếp tục sử dụng cookie tiêu chuẩn để truy cập.

Theo Google, phiên bản đầu tiên của giao thức này được triển khai vào năm ngoái đã chứng minh sự giảm thiểu đáng kể việc đánh cắp phiên khi DBSC được bật.

Vì mỗi phiên trình duyệt được hỗ trợ bởi một khóa khác nhau, các trang web không thể sử dụng chúng để theo dõi người dùng trên các phiên hoặc trang web khác nhau. Hơn nữa, thiết bị không chia sẻ định danh hoặc dữ liệu chứng thực với máy chủ để ngăn chặn việc lấy dấu vân tích (fingerprinting) và theo dõi chéo trang web.

Google cho biết DBSC được xây dựng như một tiêu chuẩn web mở thông qua quy trình W3C, và Microsoft đã giúp thiết kế nó. Okta và các nền tảng web khác đã thử nghiệm DBSC, và các chi tiết triển khai đã được đưa vào hướng dẫn dành cho các nhà phát triển web.

Google cũng đang làm việc để bảo mật danh tính liên kết (federated identity) bằng cách mở rộng DBSC để hỗ trợ ràng buộc đa nguồn gốc (cross-origin bindings), triển khai các khả năng đăng ký nâng cao để liên kết phiên DBSC với vật liệu khóa đáng tin cậy đã tồn từ trước, và có thể thêm các khóa dựa trên phần mềm để mang lại khả năng bảo vệ cho các thiết bị thiếu phần cứng bảo mật chuyên dụng.